Kaspersky Internet Security 6

 
Introduzione

Per chi lavora nel mondo della sicurezza informatica, ma anche per chi si diletta come appassionato alla ricerca continua di novità, sa quanto sia importante un software antivirus installato nel sistema. Il marketing spesso costringe l’utente medio a conoscere solo parte di ciò che il mercato offre. Ecco che quindi su tutti i computer preassemblati e venduti vengono installati solo due tra i software più conosciuti sul mercato, denominati anche gli "squali" del settore: Symantec con il famosissimo Norton Antivirus e McAfee con il proprio ViruScan.

La maggior parte degli utenti di medio livello ignora la presenza di numerose altre società che compongono il quadro completo del settore con prodotti che possono essere più scadenti ma, in altri casi, addirittura più performanti ed efficaci. È questo il caso di Kaspersky Antivirus, uno dei software antivirus che ha ricevuto più riconoscimenti in assoluto per capacità di individuazione di malware e per tecnologie di scansione.

Kaspersky Lab., società russa responsabile dello sviluppo di questo software, prende il nome dal principale sviluppatore e ricercatore della società, Eugene Kaspersky, considerato all’unanimità una delle persone più esperte del settore. Kaspersky è stato capace di creare un software preso come punto di riferimento da tutti, sia concorrenti che dal mondo underground e dei virus writer.

Ricordiamo, per i curiosi e per i più anziani, che Kaspersky Antivirus era conosciuto in passato come AVP – Antiviral Toolkit Pro, utilizzato da enti nazionali come Telecom Italia. La storia ha fatto vedere come, se AVP era un ottimo software antivirus, con il cambio di nome e di versione, la 4.5, Kaspersky abbia perso numerosi clienti a causa di un software estremamente pesante e di difficile configurazione. Con la successiva versione 5 Kaspersky Antivirus ha poi riacquisito una gran fetta di utenti grazie ad una rinnovata interfaccia grafica molto più user friendly.

La versione recensita in queste pagine è la versione 6, uscita da pochi mesi e considerata una sorta di "rivoluzione" grazie all’aggiunta di nuove tecnologie di prevenzione e protezione.

Le novità della suite Kaspersky

La versione 5 di Kaspersky Antivirus è stata per un lungo periodo di tempo la migliore in commercio in termini di individuazione malware, definizione garantita da numerosi premi e da test indipendenti. I punti di forza di Kaspersky sono stati essenzialmente due: i tempi di risposta dei laboratori di ricerca e l’ampio database di unpackers; questo secondo punto è stato approfondito in precedenza in questo articolo.

Degno di nota è il primo punto, sicuramente importante per un società di antivirus, per il supporto tecnico ai proprio clienti. Da questo punto di vista Kaspersky eccelle, avendo tempi di risposta in alcuni casi inferiori ad un’ora e, nella media, intorno ad un paio di ore.

Queste sono state le carte che hanno sempre colmato l’unica grande lacuna di Kaspersky Antivirus, lacuna che però si è fatta progressivamente sentire nel corso degli ultimi mesi: la mancanza di una vera e propria tecnologia euristica. Il trend attuale di nuove infezioni ha raggiunto oramai numeri record e risulta impossibile riuscire a stare al passo con ogni nuovo malware rilasciando immediatamente delle firme virali per questo.

Inoltre lo sviluppo in questi mesi di nuove tecnologie HIPS, come illustrato in un articolo precedente, ha messo in evidenza quanto sia necessario rivoluzionare le tecnologie attuali per aggiornarsi al nuovo trend dove il software antivirus si sposta dal ruolo del "curare" al ruolo del "prevenire".

Ed è proprio questa la rivoluzione di Kaspersky Lab. nella nuova release del proprio software antivirus, riuscendo a sviluppare un piccolo capolavoro – così dichiarato da numerosi esperti del settore e confermato nei test di laboratorio. Tutti gli studi e i progetti portati avanti dal team di Eugene Kaspersky sono confluiti in un nuovo modulo, denominato "Modulo di difesa proattiva" (PDM – Proactive Defense Module). Il modulo, diviso in quattro sottomoduli, è la vera novità degna di nota del nuovo Kaspersky Antivirus 6, che include poi altre piccole novità che tuttavia passano in secondo piano rispetto al PDM.

Engine di scansione

Ad esclusione del nuovo modulo di difesa proattiva Kaspersky Antivirus non presenta novità di rilievo. Cifre da record circondano questo software russo che più volte ha dimostrato di poter sbaragliare la concorrenza grazie alle proprie qualità di individuazione virus.

Sebbene il database di firme virali indichi un numero di poco superiore alle 200.000 firme – esistono altri scanner antivirus con numeri di gran lunga maggiori – la combinazione con il numero più alto attualmente in commercio di unpacker statici che Kaspersky Antivirus offre permette l’individuazione del 99% dei malware attualmente conosciuti; questo è il risultato ottenuto dalla maggior parte dei test indipendenti internazionali e anche secondo i nostri test.

Per comprendere meglio come la combinazione di unpacker e database possa rappresentare il punto di forza di Kaspersky basti pensare ad una situazione simile a quella qui esposta: un malware viene compilato e rilasciato su internet; le società di antivirus vengono a conoscenza di questo esemplare, lo analizzano e ne rilasciano una firma virale. Alcuni virus writer prendono il sample che ormai è identificato da tutti i software antivirus e ne modificano la struttura interna, o meglio lo comprimono con un runtime packer (per maggiori informazioni su cosa sia un runtime packer è possibile fare riferimento a questo articolo) che può essere l’open source UPX, ASPack, Mew o qualunque altro esistente in commercio.

Di conseguenza la firma virale che le società avevano studiato per il sample non sarà più corretta perché la struttura interna del file è mutata. Se però un software antivirus ha a disposizione delle routine statiche per decomprimere questi packer, allora la firma virale sarà ancora valida perché verrà applicata al file decompresso. I software che invece non hanno a disposizione queste routine saranno in qualche modo impreparati nei confronti di questo malware fino a quando le rispettive società non verranno a contatto con questa variante e ne scriveranno un’altra firma virale. In alternativa è possibile scrivere una routine per decomprimere il packer utilizzato anche se questa seconda ipotesi è spesso più difficile a causa della complessità di alcuni packer.

Kaspersky Antivirus è attualmente il software antivirus con il maggior numero di unpacker in commercio. Da qui si spiega il motivo per cui questo software abbia un detection rate impressionante. Uno dei due punti dolenti di Kaspersky è la velocità di scansione che, sebbene in alcuni pc abbia fornito prestazioni stranamente fuori dalla norma, in generale risulta più lenta di software antivirus concorrenti.

La lentezza di scansione può però essere in qualche modo ribilanciata con il fatto che Kaspersky Antivirus non scansiona esclusivamente i pc alla ricerca di virus, worm, trojan o backdoor ma contiene all’interno del proprio database anche le firme virali per spyware, adware e altri tool. A onor del vero alcune firme virali sono risultate eccessive, infatti alcuni tool di sicurezza sono stati identificati come tool rischiosi per il sistema. Il team di ricerca Kaspersky sta risolvendo al problema eliminando quelle firme inutili o non corrette.

Engine di scansione

Ad esclusione del nuovo modulo di difesa proattiva Kaspersky Antivirus non presenta novità di rilievo. Cifre da record circondano questo software russo che più volte ha dimostrato di poter sbaragliare la concorrenza grazie alle proprie qualità di individuazione virus.

Sebbene il database di firme virali indichi un numero di poco superiore alle 200.000 firme – esistono altri scanner antivirus con numeri di gran lunga maggiori – la combinazione con il numero più alto attualmente in commercio di unpacker statici che Kaspersky Antivirus offre permette l’individuazione del 99% dei malware attualmente conosciuti; questo è il risultato ottenuto dalla maggior parte dei test indipendenti internazionali e anche secondo i nostri test.

Per comprendere meglio come la combinazione di unpacker e database possa rappresentare il punto di forza di Kaspersky basti pensare ad una situazione simile a quella qui esposta: un malware viene compilato e rilasciato su internet; le società di antivirus vengono a conoscenza di questo esemplare, lo analizzano e ne rilasciano una firma virale. Alcuni virus writer prendono il sample che ormai è identificato da tutti i software antivirus e ne modificano la struttura interna, o meglio lo comprimono con un runtime packer (per maggiori informazioni su cosa sia un runtime packer è possibile fare riferimento a questo articolo) che può essere l’open source UPX, ASPack, Mew o qualunque altro esistente in commercio.

Di conseguenza la firma virale che le società avevano studiato per il sample non sarà più corretta perché la struttura interna del file è mutata. Se però un software antivirus ha a disposizione delle routine statiche per decomprimere questi packer, allora la firma virale sarà ancora valida perché verrà applicata al file decompresso. I software che invece non hanno a disposizione queste routine saranno in qualche modo impreparati nei confronti di questo malware fino a quando le rispettive società non verranno a contatto con questa variante e ne scriveranno un’altra firma virale. In alternativa è possibile scrivere una routine per decomprimere il packer utilizzato anche se questa seconda ipotesi è spesso più difficile a causa della complessità di alcuni packer.

Kaspersky Antivirus è attualmente il software antivirus con il maggior numero di unpacker in commercio. Da qui si spiega il motivo per cui questo software abbia un detection rate impressionante. Uno dei due punti dolenti di Kaspersky è la velocità di scansione che, sebbene in alcuni pc abbia fornito prestazioni stranamente fuori dalla norma, in generale risulta più lenta di software antivirus concorrenti.

La lentezza di scansione può però essere in qualche modo ribilanciata con il fatto che Kaspersky Antivirus non scansiona esclusivamente i pc alla ricerca di virus, worm, trojan o backdoor ma contiene all’interno del proprio database anche le firme virali per spyware, adware e altri tool. A onor del vero alcune firme virali sono risultate eccessive, infatti alcuni tool di sicurezza sono stati identificati come tool rischiosi per il sistema. Il team di ricerca Kaspersky sta risolvendo al problema eliminando quelle firme inutili o non corrette.

Altri tool di sicurezza a disposizione

Esposte le novità principali e i punti di forza della nuova suite Kaspersky, è possibile notare che il prodotto è caratterizzato da una nuova interfaccia grafica, molto più intuitiva e di facile gestione. Il prodotto si basa su configurazioni facili per gli utenti meno esperti che possono scegliere tre livelli di protezione: basso, raccomandato, alto.

Dietro questa semplicità di configurazione ci sono una quantità di settaggi che i più esperti sapranno debitamente apprezzare, soprattutto in merito alla tecnologia PDM. Il programma comunica con l’utente attraverso dei menù a comparsa dall’angolo inferiore destro del monitor. Attraverso questi popup lo scanner informa l’utente di eventuali nuove infezioni, di possibili attacchi provenienti da internet e di potenziali malfunzionamenti. Utilizzando le configurazioni di default, il programma tende a inondare l’utente di numerosi popup con una frequenza che può essere ridotta solamente modificando le impostazioni avanzate.

L’interfaccia principale del programma si è uniformata allo stile classico seguito da oramai quasi tutte le suite presenti in commercio. Il menu è stato suddiviso in due colonne: la colonna di sinistra racchiude le voci relative ai vari tools della suite mentre la colonna di destra le configurazioni e schermate riassuntive che determinano lo stato dei servizi.

Una particolarità dell’aspetto grafico consiste nella visualizzazione nella parte inferiore sinistra dell’interfaccia principale di un riquadro che riassume tutti gli eventuali allarmi rilevati. Oltre dunque alla rinnovata interfaccia grafica e ai gioielli di punta che sono il motore di scansione antivirale ed il nuovo Proactive Defense Module, sono tanti i componenti della suite che fanno da contorno e aiutano a rendere ancor più sicuro il pc.

Al monitor di scansione all’accesso dei file, Kasperky Internet Security affianca un monitor per la scansione delle e-mail, con controllo dei protocolli POP3/SMTP/IMAP/NNTP e supporto a programmi quali Microsoft Exchange e The Bat!. E’ anche presente un monitor per la navigazione web che scansiona il protocollo HTTP intercettando eventuali minacce presenti sui siti web prima che vengano copiati dati sull’hard disk. Tutti questi strumenti offrono protezione dai pericoli relativi ai malware. Tuttavia la suite russa non si limita a questo, ma fornisce altri tool per una maggior sicurezza e riservatezza sotto tutti i punti di vista. Infatti, Kasperky Internet Security fornisce un tool anti-phishing, un popup blocker, un anti-banner e un anti-dialer; con questi strumenti la protezione offerta è decisamente completa.

Non manca un firewall fornito in dotazione conosciuto da un anno circa come Kaspersky AntiHacker. Sebbene la prima release di questo software non avesse raccolto particolari favoritismi, a causa di numerosi bug e di prestazioni insufficienti, la nuova versione inclusa nella Kasperky Internet Security 6 risulta essere notevolmente migliorata. La nuova versione include una modalità di training per configurare in maniera ottimale e facilitata il firewall e una serie di regole preimpostate per i programmi più comuni che vengono utilizzati su internet.

Il firewall fornisce anche un sistema IDS (Intrusion Detection System) che permette di riconoscere e bloccare eventuali attacchi mirati al pc. Anche qui il firewall riscuote particolarmente successo grazie alla collaborazione con il Proactive Defense Module, garantendo sicurezza dall’esterno verso l’interno e viceversa. Infine la suite include un modulo AntiSpam, che non eccelle per particolari novità di rilievo, ma che comunque risulta utile nell’insieme per garantire una protezione globale contro ogni tipo di minaccia.

 

Conclusioni

Kaspersky Internet Security 6 risulta essere in definitiva un’ottima scelta. Nell’industria dei software antivirus il nome Kaspersky è sinonimo da anni di sicurezza per i motivi esposti anche in questo articolo. C’è poco da dire sull’efficacia, ottima nei nostri test, pluripremiata a livello internazionale da numerosi esperti del settore, punto di riferimento anche per il mondo dell’underground, per chi si diletta – per passione o per soldi – a sviluppare virus informatici.

È chiaro: il cavallo di battaglia della suite è proprio l’antivirus. Tutti i tool che sono stati sviluppati a contorno, sebbene svolgano decentemente il proprio lavoro, non eccellono nei rispettivi campi. Affrontato il discorso efficacia, su cui c’é poco da segnalare, si puó passare ad altri punti dove cominciano a nascere le critiche per il prodotto sviluppato dal team di Eugene Kaspersky.

Il problema principale dei prodotti Kaspersky è la pesantezza. L’utilizo delle risorse di sistema è tutt’altro che limitato, sebbene in quest’ultima versione molto sia migliorato dall’ormai vetusta versione 5. Seppur Kaspersky Internet Security utilizzi un unico processo di sistema che non occupa neanche troppa memoria, è evidente che il sistema risulta in parte rallentato. Sicuramente l’effetto si manifestain maniera maggiore su computer più lenti, mentre con i computer attuali spesso questi rallentamenti risultano meno evidenti grazie all’esosa quantità di risorse a disposizione.

Il driver utilizzato da Kaspersky Antivirus prende il controllo di ben 39 API native di Windows per tenere sotto osservazione il sistema. Tuttavia, sebbene si possa notare questo rallentamento, risulta in larga parte sopportabile, soprattutto se l’utente è abituato a programmi antivirus ben più pesanti che spesso vengono installati come standard nelle macchine preassemblate. All’utente si pone dunque il dilemma emblematico della ricerca di un software perfetto: meglio un software pesante ma sicuro o un software più leggero e che garantisca un buon livello di protezione?

La risposta a questa domanda, ormai ciclica e quasi banale, esiste ed è: esiste il software che meglio si addice alle esigenze dell’utente, sia esso il primo delle classifiche o il decimo. Tutti i software antivirus attualmente in commercio, perlomeno quelli conosciuti, riescono ad individuare i virus ITW (In-The-Wild, quelli realmente diffusi). Basarsi sulle sole classifiche di individuazione virus per scegliere un software antivirus si trasforma in uno sbaglio madornale; ci sono molte altre caratteristiche da considerare la cui valutazione è piuttosto personale. Ci riferiamo ad esempio ai tempi di risposta del centro di ricerca, all’assistenza tecnica, alla possibilità di determinate configurazioni.

Se la pesantezza sul sistema non è un problema e si vuole un ottimo livello di sicurezza, sicuramente Kaspersky Antivirus è la scelta adatta. Il software, distribuito in Italia da Questar , é disponibile in lingua italiana dal 21 Agosto al prezzo di 39,90 euro iva inclusa per il solo pacchetto antivirus – esclusi quindi firewall, antispam e antiphishing – e di 59.90 euro iva inclusa per Kaspersky Internet Security Suite.

Questa voce è stata pubblicata in Computer e Internet. Contrassegna il permalink.

Lascia un commento

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...